La société Vade Retro Technology vient d'annoncer avoir détecté une attaque contre le site du Ministère de la Défense Française. L'attaque aurait été réalisée vendredi dernier vers 18h selon l'éditeur français. Il s'agirait d'une « attaque de type « DNS Poisoning » de haut niveau ».

En quoi consiste ce type d'attaque ? Securi-toile.com répond à cette question :

Les serveurs DNS possèdent un cache permettant de garder pendant un certain temps la correspondance entre un nom de machine et son adresse IP. En effet, un serveur DNS n'a les correspondances que pour les machines du domaine sur lequel il a autorité. Pour les autres machines, il contacte le serveur DNS ayant autorité sur le domaine auquel appartiennent ces machines. Ces réponses, pour éviter de sans cesse les redemander aux différents serveurs DNS, seront gardées dans ce cache. L'empoisonnement du cache DNS ou pollution de cache DNS (DNS cache poisoning ou DNS cache pollution en anglais) est une technique qui consiste à corrompre ce cache en leurrant les serveur avec de fausses informations afin de leur faire croire qu'ils reçoivent une requête valide tandis qu'elle est frauduleuse.

Une fois que le serveur DNS a été empoisonné, l'information est mise dans une cache, rendant ainsi vulnérables tous les utilisateurs de ce serveur. Ce type d'attaque permet, par exemple, d'envoyer un utilisateur vers un faux site dont le contenu peut servir à de l'hameçonnage (dans le cas du DNS, on parle pharming) ou comme vecteur de virus et autres applications malveillantes.

Un ordinateur présent sur Internet utilise normalement un serveur DNS géré par le fournisseur d'accès. Ce serveur DNS est la plupart du temps limité aux seuls utilisateurs du réseau du fournisseur d'accès et son cache contient une partie des informations rapatriées par le passé. Une attaque par empoisonnement sur un seul serveur DNS du fournisseur d'accès peut affecter l'ensemble de ses utilisateurs, soit directement ou indirectement si des serveurs esclaves s'occupent de propager l'information.

Selon Vade Retro Technology, un vilain poisson a été hébergé sur un des sites du Ministère de la Défense, via les serveurs DNS de haut niveau. « Ces serveurs DNS dirigeaient à tort des requêtes à destination d'un des sites internet du Ministère de la Défense Française vers un site internet marocain hébergé en Allemagne » précise la filiale de GOTO Software.

Les conséquences ont-elles été problématiques pour les visiteurs du site du Ministère de la Défense ? A priori non, puisqu'il s'agissait d'une « simple opération de phishing commercial ». Vade Retro note judicieusement qu'un « hacker plus entreprenant aurait pu créer une copie à l'identique du site visé et ainsi récupérer par exemple des noms d'utilisateurs et mots de passe d'agents gouvernementaux ».

La situation a tout de même durée une journée complète, puisque la situation est revenue à la normale seulement samedi matin selon l'Agence Nationale de la Sécurité de Sites d'Information, même si le phishing n'avait déjà plus court dès vendredi soir.

Le Ministère de la défense, le Sénat US, Sony, Minecraft...

Les histoires de piratage, de vols de données, de DDoS ou de phishing de grande envergure s'accumulent depuis le début de l'année. Si l'industrie du jeu vidéo est particulièrement touchée ces derniers mois (Sony, Nintendo, Codemasters, Eve Online, Minecraft, Bethesda, etc.), d'autres grandes entreprises ou institutions ont été attaquées récemment. C'est notamment le cas du Sénat américain, ou encore de la banque CitiGroup...

Le groupe de hackers LulzSec est d'ailleurs à l'origine de la plupart des attaques de ces derniers mois, comme nous vous l'expliquions ce matin. Le DNS Poisoning du site du Ministère de la Défense n'a par contre probablement rien à voir avec LulzSec.